Рассказываем, как организовать правильно обработку персональных данных, и даем готовый чек-лист процедур и документов, нужных для соблюдения законодательства.
Должен ли ИП заниматься обработкой персональных данных
Согласно ч. 2 ст. 3 закона от 27.07.2006 № 152-ФЗ, оператором является любое физическое лицо или юридическое лицо, которое организует обработку персональных данных, определяет способы и цели их обработки. Если предприниматель собирает, хранит или использует личную информацию своих клиентов или сотрудников, он однозначно подпадает под это определение.
Из этого вытекает обязанность ИП зарегистрироваться в Роскомнадзоре, разработать и внедрить необходимые ЛНА, получать согласие на обработку и четко соблюдать другие требования законодательства во избежание штрафов. Никаких различий в порядке ведения документации ИП и юрлиц-операторов персональных данных — нет.
В каких обстоятельствах предприниматель получает личную информацию граждан
Например, интернет-магазин собирает сведения о клиентах через онлайн-формы: ФИО, имя, адрес доставки, телефон и email, иногда данные для оплаты. Обычно такая информация нужна для коммуникации с покупателями и выполнения заказов.
Другой случай — поиск и наем нового персонала. Когда соискатели заполняют анкеты для собеседования, присылают резюме, копии своих дипломов и образовательных сертификатов, они также оставляют много личной информации у предпринимателя.
Если ИП оказывает медицинские услуги, его в распоряжение попадают сведения о состоянии здоровья пациентов, результаты анализов, эпикризы и заключения. Во всех этих случаях бизнесмен должен соблюдать требования закона № 152-ФЗ.
Есть ли исключения из правил
От регистрации в Роскомнадзоре освобождены ИП без работников, которые не ведут обработку персональных данных клиентов-физлиц. Допустим, предприниматель продает сельхозпродукцию на рынке и с личной информацией покупателей вообще не сталкивается. В таких редких случаях ИП не является оператором персданных и под закон не подпадает (п. 2 ст. 3, ч. 1 ст. 22 закона № 152-ФЗ).
Что делать остальным предпринимателям, чтобы избежать серьезных штрафов контролирующих органов, разберемся дальше.
Инструкция для ИП — оператора персональных данных
Чтобы индивидуальному предпринимателю (ИП) законно обрабатывать персональные данные, нужно выполнить следующие шаги.
1. Зарегистрироваться в Роскомнадзоре
Чтобы уведомить федеральную службу о начале обработки личных данных физлиц и зарегистрироваться в качестве оператора ИП нужно заполнить заявление. Форма унифицирована приказом Роскомнадзора от 28.10.2022 № 180. Подать заявку можно на бумаге, либо электронным способом. Самый короткий путь — сайт РНК или портал Госуслуги.
Именно на предмет регистрации в РНК чаще всего проводятся проверки, поэтому это обязательный первый шаг, который нужно совершить всем ИП, кого касается закон №152-ФЗ.
2. Разработать и внедрить документацию, чтобы организовать обработку персональных данных, в соответствии с законодательством
Условно документы, которые необходимы предпринимателю для обработки персональных данных, можно разделить на две категории.
Локальные акты.
Часть из них должна быть на предприятии по закону. Другие не являются обязательными, но помогают лучше выстроить архитектуру приема, обработки, хранения информации, организовать процесс своевременной сдачи отчетности.
Документы для отчетов в Роскомнадзор.
Они необходимы для соблюдения требований законодательства и коммуникации с ведомством. Перечислять полный перечень документов в настоящей статье — не имеет практического смысла, поскольку он имеет на 2025 год более 60 позиций. Назовем ключевые, которые должны быть у любого ИП, осуществляющего обработку персданных (внутренних и внешних):
Политика в отношении обработки персональных данных (п. 2 ст. 18.1 закона № 152-ФЗ).
Согласие физлиц на обработку, передачу и распространение ПД.
Инструкции для работников, которые имеют доступ к личной информации.
Регистрация ИП в Роскомнадзоре и подготовка документов по ФЗ №152
Разработка документов для ИП согласно ФЗ №152, организация системы ведения документов для ИП, полное соответствие требованиям Роскомнадзора к обработке персональных данных
3. Обеспечить защиту персональных данных
После того как все необходимые документы готовы и регистрация в Роскомнадзоре успешно завершена, предпринимателю требуется установить и соблюдать меры безопасности для защиты данных от утечек, потерь и несанкционированного доступа (ст. 19 закона № 152-ФЗ).
Данный этап включает как организационные мероприятия (ограничение доступа к ПД только для тех сотрудников, которым они необходимы для работы), так и использование технических средств защиты — шифрование, антивирусное ПО, брандмауэры, настройку резервного копирования информации.
4. Оформить договоренности с третьими лицами
Если персональные данные передаются сторонним организациям (например, курьерским службам, облачным хранилищам), важно еще заключить соответствующие договоры с контрагентами.
Подобные соглашения должны включать:
обязательства сторон по соблюдению закона о защите ПД (ст. 6, 19, 22.1 закона № 152-ФЗ);
описание характера обработки данных (например, хранение, транспортировка, анализ);
гарантии конфиденциальности и запрет на передачу информации третьим лицам без согласия субъекта;
штрафы или компенсации в случае утраты данных или несоблюдения мер защиты.
Важно: если вы используете CRM, системы управления рассылками или облачные платформы, проверьте, чтобы в их условиях обработки данных соблюдались нормы российского законодательства. Например, серверы должны находиться на территории РФ (п. 5 ст. 18 закона № 152-ФЗ).
Сомневаетесь, что правильно работаете с персональными данными в своем бизнесе? Хотите перепроверить свой учет? Скачайте чек-лист обязательных процедур, необходимых для соблюдения законодательства о персональных данных, согласно ФЗ-152 от 27.07.2006 и требований Роскомнадзора по состоянию на 2024 год, подготовленный специалистами Консалтинг Онлайн.
Далее остается контролировать процесс обработки, вести учет операций, периодически обновлять локальные акты при изменении законодательства, не забывать отчаиваться в Роскомнадзор — чтобы исключить нарушения и избежать штрафов.
Кстати, о штрафных санкциях — с 2024 года ответственность на нарушение обработки ПД (ст. 13.11 КоАП) выросла в разы.
Штрафы за неправильную обработку персональных данных
Отсутствие регистрации в Роскомнадзоре, некорректное заполнение отчетности, неправильное оформление или недостаток обязательных ЛНА у предпринимателя — все это грозит административными штрафами по ст. 13.11 КоАП.
Перечислим меры ответственности, которые касаются именно для ИП:
Незаконная обработка персональных данных — от 10 000 до 100 000 руб.
Обработка данных без согласия — от 20 000 до 300 000 руб.
Отсутствие опубликованной на сайте политики обработки данных — от 10 00 до 30 000 руб.
Необеспечение сохранности ПД на материальных носителях — от 20 000 до 40 000 руб.
Нарушение правил обращения с собранными данными — от 1 млн руб. до 18 млн руб. (в том числе за хранение информации в базах Google Диск, Dropbox, OpenDrive, MEGA, расположенных за территорией РФ без уведомления РНК).
Уклонение и препятствование проверке Роскомнадзора (ч. 1 ст. 19.4.1 КоАП) — от 2 000 до 4 000 руб.
Специализированный сервис Консалтинг Онлайн поможет правильно организовать обработку персональных данных на предприятии, подготовить необходимую локальную документацию и обеспечить соответствие требованиям Роскомнадзора, исключив ошибки и риски.
Читайте также:
Регистрация ИП в Роскомнадзоре и подготовка документов по ФЗ №152
Разработка документов для ИП согласно ФЗ №152, организация системы ведения документов для ИП, полное соответствие требованиям Роскомнадзора к обработке персональных данных
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8K3kV5
Начать дискуссию